Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ

BGA Security tarafından her yıl yaklasık olarak 200’e yakın
sızma testi projesi gerçeklestirilmektedir. Bu projeler standart
olmayıp müsterilerin taleplerine göre farklı boyutlarda
olabilmektedir. Bu rapor yapılan çalışmalarda karşılaşılan zafiyetler ve istismar yöntemlerinin istatistiklerini paylaşmak amacıyla hazırlanmıştır.

  • Soyez le premier à commenter

RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ

  1. 1. RAKAMLARIN DİLİ İLE 2020 YILI SIZMA TESTLERİ
  2. 2. BGA HakkInda BGA Bilgi Güvenliği A.Ş. 2008 yılından bu yana siber güvenlik alanında faaliyet göstermektedir. Ülkemizdeki bilgi güvenliği sektörüne profesyonel anlamda destek olmak amacıyla kurulan BGA Bilgi Güvenliği, stratejik siber güvenlik danışmanlığı ve güvenlik eğitimleri konularında kurumlara hizmet vermektedir. Uluslararası geçerliliğe sahip sertifikalı 50 kişilik teknik ekibi ile, faaliyetlerini Ankara, İstanbul, Azerbaycan ve ABD’de sürdüren BGA Bilgi Güvenliği’nin ilgi alanlarını “Sızma Testleri, Güvenlik Denetimi, SOME, SOC Danışmanlığı, Açık Kaynak Siber Güvenlik Çözümleri, Büyük Veri Güvenlik Analizi ve Yeni Nesil Güvenlik Çözümleri” oluşturmaktadır. Yönetİcİ Özetİ BGA Security tarafından her yıl yaklaşık olarak 200’e yakın sızma testi projesi gerçekleştirilmektedir. Bu projeler stan- dart olmayıp müşterilerin taleplerine göre farklı boyutlar- da olabilmektedir. Müşterilerin sızma testi gerçekleştirmedeki motivasyon- larına (güvenlik endişeleri, yasal zorunluluklar, yatırım ön teşvik koşulları vs.) göre talep edilen kapsam ve test detayı değişiklik göstermektedir. RAKAMLARIN DİLİ İLE 2020 Aşağıda genel olarak sızma testi kapsamında yer alan kategoriler verilmiştir. Veritabanı Sistemleri ATM Sistemleri Dağıtık Servis Dışı Bırakma Testleri VoIP Sistemleri VPN Sistemleri NAC Sistemleri Testleri Antivirüs Sistemleri EKS (Kritik Altyapı Sistemleri) Dış Ağ Sosyal Mühendislik Testleri Web Uygulama Mobil Uygulama Yerel Ağ Sızma Testleri Kablosuz Ağ Sistemleri E-posta Servisleri DNS Servisleri Bu çalışmanın ilerleyen bölümlerinde gerçekleştirilen test sonuçları genel ve en yaygın test kategorileri bünyesinde iki ana başlık altında incelenecektir.
  3. 3. Oltalama 1% Web 49% Mobil 3% Sistem 31% Network 6,9% E-Posta 2% DNS 3% Veritabanı 2% Kablosuz 1% DDOS 1% VOIP 0.1% Oltalama Web Mobil Sistem Network E-Posta DNS Veritabanı Kablosuz DDOS VOIP Bulgularin Genel Olarak Değerlendİrİlmesİ Kategorİsel Olarak Bulgu İstatİStİklerİ Bu bölümde sızma testi çalışmaları sonunda ortaya çıkan bulguların; kategorileri, etkileri, erişim noktaları ve sebep- leri üzerinden genel bir değerlendirme yapılacaktır. Aşağıda sızma testi projeleri sonrasında tespit edilen bulguların kategorisel olarak istatistikleri verilmiştir. RAKAMLARIN DİLİ İLE 2020 Grafik incelendiğinde web uygulamaları üzerinde var olan zafiyetlerin tüm bulgu pastasının yarısını oluşturduğu görülmektedir. Bu aynı zamanda kurumların zafiyetlerinin yarısının uzaktan erişilebilir sistemler üzerinde var olduğu anlamına gelmektedir. Tespit edilen sonuçlar, güvenliğin sağlanması adına, dışarı açılacak sistemlerin yönetimini gerçekleştiren personellerin güvenlik eğitimlerinin önemini ve dış dünyaya açılmadan önce sistemlerin teste tabi tutulmasının gerekliliğini de vurgulamaktadır. Pastanın en büyük ikinci dilimini ise yerel ağda yönetilen sistemlerin (sunucu ve istemci) oluşturduğu görülmekte- dir. Bu bulguların önemli bir kısmının sebebi ise hatalı veya eksik yapılandırmadan kaynaklanmaktadır. İlerleyen kısımlarda zafiyetlerin kaynağı bölümü altında bu konuya daha detaylı değinilecektir. Grafik 1 : Kategorisine Göre İstatistikler
  4. 4. Bu kategoride sızma testi projelerinde tespit edilen bulguların sistemlerdeki etkilerini ortaya koyan bir analiz gerçekleştirilecek- tir. Aşağıda tüm projelerin bulgularının tekil olarak sistemler üzerindeki etkilerini gösteren bir grafik verilmiştir. Yine aşağıda, grafik üzerinde yer alan bulgu etkilerinin ne anlama geldiğine dair açıklamalar verilmiştir. Ayrıca grafik değer- lendirilirken bir bulgunun birden fazla etkisinin olabileceğine dikkat edilmelidir. Gizlilik İhlali: Sistem üzerinde gerçekleştirilen iletişim verisinin veya sistemde depolanan/işlenen verinin ifşasının söz konusu olması. Bilgi İfşası: Sistemsel (sunucu, servis, protokol, platform, framework vs.) bilgilerin ifşasının söz konusu olması. Yetkisiz Erişim: Politika, yönetmelik veya kabul görmüş tavsiyeler ışığında erişim hakkı bulunmamasına rağmen ilgili nesneye (port, protokol, panel, sayfa, veri vs.) erişim sağlanması. Servis Dışı Bırakma: İlgili servisin hizmet dışı kalarak masum kullanıcı ve sistemlerin ilgili servis ile iletişim kuramaması. Bulgu Etkİ İstatİstİklerİ RAKAMLARIN DİLİ İLE 2020 Servis Dışı Bırakma %11 Gizlilik İhlali %21 Yetkisiz Erişim %37 Bilgi İfşası %31 Grafik üzerinde görüldüğü gibi tespit edilen bulguların önemli bir kısmı sistemlerde yetkisiz erişim ile sonuçlanmaktadır. Yetki- siz erişim sonucu saldırganlar, sistemler ile etkileşime geçip direkt olarak komut çalıştırabildiği gibi yetkisinin bulunmadığı panellere ve servislere erişim sağlayarak hesap elde etme girişimlerinde bulunabilir. Yine grafik üzerinde görüldüğü gibi ikinci büyük etki bilgi ifşası olarak kaydedilmiştir. Zafiyet barındıran sistemlerin mimari ve bilişim sistemlerinin yönetimi ile ilgili saldırganlara bilgi sağlamada etkili olduğu görülmektedir. Bu etki ile saldırgan, sistemler üzerinde erişim sağlayamasa da başka saldırılarda kullanmak üzere bilgi toplayabilmektedir. Grafik 2: Bulgu Etkisine Göre İstatistikler
  5. 5. Bu başlık altında, tespit edilen bulguların erişim noktalarına göre bir analiz gerçekleştirilecektir. Gerçekleştirilen sızma testleri sonrasında ortaya çıkan zafiyetlerin istismarına dair bilgiler ve bu zafiyetlerdeki saldırganların erişim noktaları, kurumun güvenlik yatırımını (personel, eğitim, cihaz vs.) hangi noktada yoğunlaştırması gerektiği konusunda önemli bir referans olabilir. BGA Security olarak gerçekleştirilen sızma testlerinde tespit edilen bulguların birçoğu dış dünyadan erişilebilen bulgular olmasına rağmen kritik düzeye sahip bulguların sayısı yerel ağda daha fazla olduğu tespit edilmiştir. Aşağıda, sızma testleri sonrasında tespit edilen bulguların erişim noktalarına göre ayrımını gösteren bir grafik verilmiştir. Grafikte görüldüğü üzere bulguların büyük çoğunluğunun erişim noktasının internet üzerinden olduğu kaydedilmiştir. Dış dünyadan erişilebilir durumda olan zafiyetlerin daha fazla olması göz önünde bulundurulduğunda dış dünyadan gelebi- lecek saldırıların önlenmesi için sadece kural-erişim kısıtlama bazlı değil aynı zamanda saldırı analiz ve engelleme bazlı önlemlerin alınması gerektiği görülmektedir. Bu noktada dış dünyadan erişilebilen zafiyetlerin çok olması tüm bu zafiyetler ile sistemler üzerinde erişim elde edile- bildiği anlamına gelmemektedir. Erİşİm noktaSI İstatİstİKlerİ RAKAMLARIN DİLİ İLE 2020 İnternet 60% Yerel Ağ 38% Kablosuz Ağ 2% İnternet Yerel Ağ Kablosuz Ağ Grafik 3 : Erişim Noktalarına Göre İstatistikler
  6. 6. Bulgu Sebebİ İstatİstİklerİ Bulgu sebepleri incelendiğinde en fazla zafiyetin “Yapılandırma Eksiklikleri” kaynaklı olduğu görülmektedir. Her yıl onlarca yeni kurumlardaki gözlemlere dayanarak, bu durumun en büyük sebebinin eleman yetersizliği olduğu söylenebilir. Yetersiz eleman kadrosuyla yürütülmeye çalışılan bilgi teknoloji operasyonları, varlıkların detaylı ve güvenli yapılandırma yöntemlerini bilmeksizin devreye alınmasıyla sonuçlanmaktadır. Bu da operasyonel olarak bir sorun çıkarmasa da güvenlik anlamında ciddi sorunlar çıkarmaktadır. Sebeplerin ikinci büyük yüzdesini ise “Uygulama Geliştirmedeki Eksiklikler/Hatalar” oluşturmaktadır. Bu durum, kurumlara yöneltilen anket ve gözlemler sonucuyla da desteklendiği üzere güvenli yazılım geliştirme eğitimi alan yazılımcıların oranının yazılım geliştiricileri arasında bir hayli düşük olmasından kaynaklanmaktadır. RAKAMLARIN DİLİ İLE 2020 Grafik 4 : Bulgu Sebebine Göre İstatistikler Her bulgunun bir sebebi bulunmaktadır. Aynı hataların tekrarlanmaması ve kurumsal hafıza oluşması adına testler sonrasında elde edilen bulgu sebebi istatistikleri detaylı bir şekilde incelenmelidir. Bu sebeplerin düzgün raporlanması durumunda ise kurumlar, zafiyetlerin giderilmesine odaklandığı gibi zafiyetler- in kaynaklarının da giderilmesine odaklanabilmektedir. Aşağıda tespit edilen bulguların sebeplerine göre oluşturulmuş bir grafik verilmiştir. 6,30% 2,30% 9,20% 48,70% 3,60% 6,00% 5,30% 0,86% 1,96% 3,90% 2,00% 4,00% 2,60% 1,10% 2,10% 0,00% 5,00% 10,00% 15,00% 20,00% 25,00% 30,00% 35,00% 40,00% 45,00% 50,00% Güncel Olmayan Yazılım Kullanımı İçerik Düzenleme Hatası Uygulama Geliş�rmedeki Eksiklikler/Hatalar Yapılandırma Eksikliği/Hatası Girdi Doğrulama Eksikliği Kimlik Doğrulama Mekanizmasındaki Eksiklikler Güncel Olmayan İşle�m Sistemi Kullanımı Ağ Altyapısının Yetersizliği Personelin Güvenlik Farkındalığının Eksikliği Uygulama İşleyiş/Man�k Hatası Yetkilendirme Hatası Uygulama Güvenlik önlemlerindeki Eksiklikler/Hatalar Oturum Yöne�mindeki Eksiklikler/Hatalar Kullanıcı Yöne�mindeki Eksiklikler/Hatalar Uygulama Hata Dene�mi Eksikliği
  7. 7. Bu başlık altında sosyal mühendislik testleri kapsamında elde edilen istatistikler değerlendirilecektir. Sızma Testleri kapsamında gerçekleştirilen sosyal mühendislik testleri, teknik bilgisi veya farkındalığı eksik kullanıcıların kurumlar için ne kadar büyük bir risk oluşturabileceğini ortaya koymak adına çok faydalı olmaktadır. Sosyal Mühendislik Testleri kapsamında 2020 yılı içerisinde toplam 21270 adet oltalama maili gönderilmiştir. Kurbanların içerisinden 5443 (%25) kişinin oltalama linkine tıkladığı görülmüştür. Ayrıca 2386 (%11) kişi kullanıcı bilgilerini test esnasın- da sunulan sahte girdi alanlarında paylaşmıştır. Bu durum her dört kullanıcıdan birinin kurumlar için risk oluşturacak zararlı bağlantıları çalıştırmaya elverişli olduğunu göstermektedir. Yine ayrıca ciddi oranda bir kullanıcının bilgilerini kolayca saldırganlara teslim edebileceğini göstermek- tedir. RAKAMLARIN DİLİ İLE 2020 Sosyal Mühendİslİk İstatİstİklerİ bulgularIN KATEGORİ BAZLI OLARAK DEĞERLENDİRİLMESİ Bu bölümde öne çıkan test kategorilerinde tespit edilen bulgular üzerinden değerlendirme yapılacaktır. Grafik 5 : Sosyal Mühendislik İstatistikleri 100% 44% 26% 11% 0% 20% 40% 60% 80% 100% Gönderilen Mail Açılan Mail Link Tıklanma Veri Girişi
  8. 8. Bu başlık altında; web uygulamaları, API uygulamaları, web socket uygulamalarının çıktıları baz alınmıştır. Web uygulamaları genel olarak dış dünyaya açık varlıklar olduğu için güvenliği de son derece önemlidir. BGA Security olarak 2020 yılı içerisinde 10’u aşkın kez web uygulamaları aracılığı ile sunucular ve sunucuların bulunduğu networklerde bulunan diğer sunucular ele geçirilmiştir. Aşağıda web, API ve socket uygulamalarına ait en sık karşılaşılan bulgular verilmiştir. Bu bulgular içerisinde en yaygın olarak güvenli yapılandırılmayan form kullanımından kaynaklanan “Bir Fonksiyonun Limitsiz Kullanımı” bulgusu yer almaktadır. Yine en yaygın zafiyetlerden biri olarak “Kaba Kuvvet Saldırılarına Açık Kimlik Doğrulama Arayüzü” bulgusu yer almaktadır. Maalesef saldırganların uygulama yönetim panellerine erişmek için kullandığı bir yöntem olan bu zafiyetin istismarı sıkça görülmektedir. Genel olarak incelendiğinde ise bulguların kaynağının güvenli yazılım geliştirme kültürüne sahip olmamaktan kaynaklandığına tanık olunmaktadır. RAKAMLARIN DİLİ İLE 2020 Web Uygulama ve API İstatİstİklerİ Grafik 6 : En Çok Bulunan Web Bulguları 9,07% 8,52% 8,52% 6,86% 6,70% 6,70% 6,70% 6,23% 5,44% 4,57% 4,34% 4,26% 4,02% 3,47% 3,15% 3,00% 2,84% 2,84% 2,76% 0,00% 1,00% 2,00% 3,00% 4,00% 5,00% 6,00% 7,00% 8,00% 9,00% 10,00% Bir Fonksiyonun Limitsiz Kullanılabilmesi Eksik/Hatalı Yapılandırılmış HTTP Başlıkları Zayıf SSL/TLS Yapılandırma Zafiye�(WSTG-CRYP-001) Kaba Kuvvet Saldırılarına Açık Kimlik Doğrulama Arayüzü Özelleş�rilmemiş Hata Sayfaları Oturum Çerezi Güvenlik Eksiklikleri Güncel Olmayan Web Uygulama Bileşenleri İnterne�en Erişilebilen Hassas Bilgiler Kullanıcı Hesaplarının Tespit Edilebilmesi Altyapı ve Uygulama Yöne�m Panellerinin İfşası HTTP Başlık Bilgisinde Hassas Veri İfşası Güvensiz Doğrudan Nesne Erişimi Kimlik Bilgilerinin Şifresiz Kanaldan Aktarılması Clickjacking Zafiye� Zayıf Parola Poli�kası Kullanımı Captcha Güvenlik Önlemini Atlatma Depolanan Siteler Arası Script Çalış�rma Web Sunucuda Tehlikeli HTTP Metodu Kullanımı Yansı�lan Siteler Arası Script Çalış�rma Zafiye�/XSS
  9. 9. Bu inceleme başlığı altında mobil uygulama zafiyetlerine yer verilmiştir. Aşağıda en yaygın olarak tespit edilen mobil uygu- lama bulgularına ait grafik verilmiştir. Maalesef mobil uygulamalar kurum varlık envanterine son eklenen üye olmasına rağmen kazanılan kurum güvenlik tecrübesini yeteri kadar yansıtmamaktadır. Web uygulama tarafında çok güvenli mekanizmalara sahip birçok uygulamanın mobil platform sürümünde ciddi veri ihlallerine yol açacak zafiyetler tespit edilmektedir. Yukarıdaki grafikte ise sadece en yaygın tespit edilen bulgulara yer verilmiştir. Bunların içinde ise “Jailbreak veya Root Tespitinin Olmaması” bulgusu en sık karşılaşılan bulgudur. Girdi dene- timi eksikliğinden dolayı veri kaybına yol açabilen zafiyetlerle de sıkça karşılaşılmaktadır. Yine android tarafında kaynak kodların korunmaya alınmamış olması ikinci en büyük bulgu olarak karşımıza çıkmaktadır. RAKAMLARIN DİLİ İLE 2020 MOBİL UYGULAMA İSTATİSTİKLERİ Grafik 7 : En Çok Bulunan Mobil Bulguları 15% 16% 36% 7% 4% 9% 5% 3% 4% 1% 0% 5% 10% 15% 20% 25% 30% 35% 40% SSL Ser�fika Sabitleme Eksikliği Obfuscate Edilmemiş Mobil Uygulama Dosyaları Jailbreak/Root Tespi�nin Olmaması Güvensiz Ac�vity Erişimi Akıllı Cihazlarda Hassas Verilerin Açık Bir Şekilde Tutulması Mobil Cihaz Loglarından Erişilebilen Hassas Veriler Girdi Dene�mi Eksikliği Hassas Verilerin Maskelenmeden Kayıt Al�na Alınması GüvensizOtoma�k“Beni Ha�rla”Özelliği Şifrelemede Sabit Anahtar Kullanılması
  10. 10. Her ne kadar yerel ağ sistemleri dış dünyadan erişim kısıtından dolayı daha güvenli olarak algılansa da kurum odaklı oltala- ma saldırıları göz önünde bulundurularak bu sistemlerin güvenliği de katı bir şekilde gerçekleştirilmelidir. Ayrıca sadece kurum dışından bir saldırgan tarafından hedef alınma senaryosunun dışında kurumun, kurum çalışanları tarafından da hedef alınabileceği unutulmamalıdır. Bu kategoride en yaygın görülen bulgunun “Üçüncü Parti Yazılımların Güncelleme Eksikliği” bulgusu olduğu görülmekte- dir. Yama yönetimi maalesef halen en büyük problemlerden biridir. Yine son kullanıcı ve sunucu sistemlerinde yapılandırılan güvenlik yazılımlarının yapılandırma eksikliğinden dolayı atlatılabilir durumda olması önemli bulgulardan biri olarak kaydedilmektedir. Yerel Ağ İstatİstİklerİ RAKAMLARIN DİLİ İLE 2020 Bu başlık altında yerel ağ (sunucu, istemci, aktif dizin) istatistiklerine yer verilmiştir. Aşağıda bu bağlamda en yaygın tespit edilen bulgulara ait grafik verilmiştir. Grafik 8 : En Çok Bulunan Yerel Ağ Bulguları 7,2% 6,6% 6,5% 6% 5,9% 5,6% 5,5% 5,3% 5,1% 5,1% 3,8% 3,8% 3,7% 3,6% 3,6% 3,5% 3,3% 4,5% 2,3% 2,2% 2% 1,6% 1,5% 1,5% 0,00% 1,00% 2,00% 3,00% 4,00% 5,00% 6,00% 7,00% 8,00% Üçüncü Par� Yazılımların Güncelleme Eksikliği Öntanımlı SNMP Bilgileri Kullanımı İstemci Sistemler Üzerinde Tespit Edilen Güvenlik Zafiyetleri İnternet Erişim Güvenlik Kontrollerinin Aşılması Yetkisiz Erişilen Microso� Windows SMB Paylaşımları NetBIOS ve LLMNR Zehirlenmesi Microso� Windows İşle�m Sistemi Güncelleme Eksiklikleri Microso� IIS Tilde Ad Çözümleme Zafiye� Desteği Olmayan Windows İşle�m Sistemi Kullanımı ESXi/ESX Kri�k Güvenlik Güncelleş�rme Eksikliği İnterne�en Erişilebilen Kri�k Portlar/Servisler Anonim FTP Hesabı Kullanımı Telnet Kullanımı IPMI v2.0 Parola Öze� İfşası ARP Önbellek Zehirlemesi (MITM Saldırısı) DHCP Starva�on Zafiye� Ac�ve Directory Zayıf Parola Poli�kası SMB Paket İmzalamasının Pasif Olması Aynı Kullanıcı Hesabının Farklı Sistemlerde Kullanımı Host Tabanlı Güvenlik Kontrollerinin Atla�lması Basit Parolaya Sahip Ac�ve Directory Kullanıcı Hesapları Oracle TNS Listener Uzaktan Zehirleme Zafiye� Hassas Bilgilerin Şifresiz Dosyalarda Tutulması Parola Korumasız Redis Server Grafik 8 : En Çok Bulunan Yerel Ağ Bulguları
  11. 11. KABLOSUZ AĞ İstatİstİklerİ Bu başlık altında kablosuz ağ bulgularının analizine yer verilmiştir. Aşağıda en sık tespit edilen kablosuz ağ bulgu- larını içeren bir grafik verilmiştir. Kurum güvenliğinde kablosuz ağlar da yine çok önemli bir yere sahiptir. Çünkü hatalı yapılandırılan bir kablosuz ağ kurum dışında bulunan saldırganların kablosuz ağdan yerel ağa ve sonrasında sistemlere sızmasına sebep olabilir. BGA Security tarafından 2020 yılı içerisinde yapılan testlerde, kablosuz ağlar üzerinden kurum sistemleri- nin ele geçirilmesi ile sonuçlanan senaryolar gerçekleştirilmiştir. Bu kategoride en yaygın karşılaşılan bulgunun “Güvensiz Kablosuz Ağ Protokolü Kullanımı” olduğu görülmektedir. Kablosuz ağların yapılandırılmasında protokol ve şifreleme yöntemleri saldırının başarısını da doğrudan etkileye- bilmektedir. Bu durum sebebiyle ağ yapılandırma öncesinde güvenlik açısından da analizlerin gerçekleştirilmesi önerilmektedir. Yine saldırganların istemcileri ağdan düşürme girişimlerinin başarılı olduğu saldırı yöntemi de yaygın olarak görülmektedir. RAKAMLARIN DİLİ İLE 2020 Grafik 9 : En Çok Bulunan Kablosuz Ağ Bulguları 42,0% 28,2% 1,5% 17,8% 10,5% 0,0% 10,0% 20,0% 30,0% 40,0% 50,0% Güvensiz KablosuzAğ Protokolü Kullanımı Kablosuz Ağ Servis Dışı Bırakma Saldırıları Basit Parolaya Sahip Kablosuz Ağ Kullanımı Kullanıcı İzolasyonu Sağlanmamış Kablosuz Ağ Kullanımı MAC Filtreleme Kullanılmayan Kablosuz AğKullanımı
  12. 12. Genel Değerlendİrme ve Önerİler RAKAMLARIN DİLİ İLE 2020 Dünyada olduğu gibi ülkemizde de siber güvenlik alanında ihtiyaçlar ve yatırımlar son hızda devam etmekte- dir. Her geçen gün, sistemlerin daha güvenli bir şekilde yönetilmesi için yönergeler yayınlanmakta, yeni ürünler piyasaya sürülmektedir. Şüphesiz operasyonel olarak gerçekleştirilen mevcut işlerin daha detaylı bir şekilde yürütülmesi anlamına gelen bu durum eleman ve kaynak ihtiyacını arttırmaktadır. BGA Security olarak birçok kurumu gözlemleme fırsatına sahip olarak önerilerimizi aşağıdaki gibi sıralayabiliriz. Eleman Sayısı Bu konu maalesef güvensiz sistemlerin ana sebebi olarak karşımıza çıkmaktadır. Şirketin mevcut fiziksel yapısındaki personel/yönetici oranını göz önünde bulundurarak şirketin siber yapısındaki cihaz/BT personeli oranının gözden geçirilmesi gerekmektedir. Her cihazın güvenli bir şekilde yapılandırılması için binlerce sayfayı bulan yönetici rehberlerinin bulunduğunu ve sınırlı iş gücü ile tüm bu detaylara sahip olunamaya- cağının farkına varılmalıdır. Güncelin Takip Edilmesi Siber güvenlik dünyasında gelişen olayların gerisinde kalmamak personelin bireysel çabası ve azmi ile sınır- landırılmamalı, aksine kurum içerisinde kişilerin kendilerini bu konuda geliştirmeleri için mesai saatleri içinde tamamlanması gereken bir görev olarak atanmalıdır. Bu kapsamda örnek bir çalışma olarak BGA Security sızma testi ekibi her hafta periyodik olarak siber gündem toplantısı gerçekleştirmektedir. Ekip üyeleri bu toplantıya hazırlanarak siber ihlaller, yeni araçlar ve yöntemler konusunda araştırmalarını arkadaşlarına sunmaktadır. Hücresel Bir Sistem Yapı Kullanımı Her sistemin hacklenebileceği unutulmamalıdır. Fakat saldırganın ilk giriş yaptığı sistemden veya networkten başkalarına sızmasını engelleyecek şekilde bir mimariye sahip olmak çok önemlidir. Bunun için kurum ağı VLAN’lara bölünmesiyle güvenlik duvarlarında sonlandırılarak ağlar arası geçişler katı bir şekilde kontrol edilmelidir. Aynı hücresel yapı sistemlerin yönetici kullanıcı hesapları için de kullanılmalıdır. Böylece ele geçirilen bir sistem hesabı başka sistemlerde kullanılamaya- caktır. Güvenlik Eğitimleri Yama Yönetimi Başarılı bir yama yönetimi olası saldırıların etkilerini çok büyük ölçüde engelleyecektir. Sosyal mühendislik testleri kurumların farkındalık eksikliği nedeniye çok ciddi problemler yaşayabileceklerini göstermektedir. Bu kapsamda öncelikle kurumlardaki tüm personellere temel seviyede bilgi güvenliği farkındalığı kazandırılmalıdır. Buna ek olarak; sistem yöneticilerinin, yazılım geliştiricilerinin, güvenlik cihazı yöneticilerinin güvenlik eğitimleri ile güçlendir- ilmesi son derece önemlidir. Eğitimler temel bir eğitim olan CEH (Etik Hacker Eğitimi) sonrası iş alanı bünyesinde özel eğitimler olarak alınmalıdır. Özellikle yazılım geliştiricilerin güvenli yazılım geliştirme eğitimi alması, olası veri ihlallerinin önüne geçmek kadar sonradan uygulamada köklü değişikliğe sebep olabilecek maaliyetlerden kaçınma adına da çok önemlidir.

×